Internet网络技术与应用教程第9章 网络安全

2020/2/281第9章Internet网络安全本章学习目标:本章主要让读者了解Internet网络所存在的潜在威胁，以及如何防范这些威胁。通过对本章的学习，读者应该掌握以下主要内容：掌握网络安全的基本概念和内容。了解什么是防火墙以及它的几种类型、体系结构和采用的主要技术。在Internet网络上，如何对个人计算机中的内容进行保护。2020/2/282第9章Internet网络安全9.1计算机网络安全基础知识9.2防火墙技术9.3Internet网络上个人计算机的保护2020/2/2839.1计算机网络安全基础知识9.1.1网络安全的含义网络安全的一个通用定义：网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全又分为：（l）运行系统安全，即保证信息处理和传输系统的安全。（2）网络上系统信息的安全。（3）网络上信息传播的安全。全。（4）网络上信息内容的安全。2020/2/2849.1.2网络安全的特征（1）保密性：信息不泄露给非授权的用户、实体或过程，或供其利用的特性。（2）完整性：数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。（3）可用性：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。（4）可控性：对信息的传播及内容具有控制能力。2020/2/2859.1.3网络安全的威胁（1）非授权访问（unauthorizedaccess）：一个非授权的人的入侵。（2）信息泄露（disclosureofinformation）：造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。（3）拒绝服务（denialofservice）：使得系统难以或不可能继续执行任务的所有问题。2020/2/2869.1.4网络安全的关键技术主机安全技术。身份认证技术。访问控制技术。密码技术。防火墙技术。安全审计技术。安全管理技术。2020/2/2879.1.5网络安全的策略1.网络用户的安全责任2.系统管理员的安全责任3.正确利用网络资源4.检测到安全问题时的对策2020/2/2889.1.6威胁网络安全的因素计算机网络安全受到的威胁包括：“黑客”的攻击计算机病毒拒绝服务攻击（DenialofServiceAttack）2020/2/2891.安全威胁的类型（1）非授权访问。这主要的是指对网络设备以及信息资源进行非正常使用或超越权限使用。（2）假冒合法用户，主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权，以达到占用合法用户资源的目的。（3）数据完整性受破坏。干扰系统的正常运行，改变系统正常运行的方向，以及延时系统的响应时间。（4）病毒。（5）通信线路被窃听等。2020/2/28102.计算机系统的脆弱性（1）计算机系统的脆弱性主要来自于操作系统的不安全性，在网络环境下，还来源于通信协议的不安全性。（2）存在超级用户，如果入侵者得到了超级用户口令，整个系统将完全受控于入侵者。（3）计算机可能会因硬件或软件故障而停止运转，或被入侵者利用并造成损失。2020/2/28113.协议安全的脆弱性当前计算机网络系统都使用的TCP／IP协议以及FTP、E-mail、NFS等都包含着许多影响网络安全的因素，存在许多漏洞。众所周知的是RobertMorries在VAX机上用C编写的一个GUESS软件，它根据对用户名的搜索猜测机器密码口令的程序，自在1988年11月开始在网络上传播以后，几乎每年都给Internet造成上亿美元的损失2020/2/28124.人为的因素不管是什么样的网络系统都离不开人的管理，但又大多数缺少安全管理员，特别是高素质的网络管理员。此外，缺少网络安全管理的技术规范，缺少定期的安全测试与检查，更缺少安全监控。令人担忧的许多网络系统已使用多年，但网络管理员与用户的注册、口令等还是处于缺省状态。2020/2/28139.1.7网络安全性措施1.网络安全措施要实施一个完整的网络安全系统，至少应该包括三类措施：（1）社会的法律、法规以及企业的规章制度和安全教育等外部软件环境。（2）技术方面的措施，如网络防毒、信息加密、存储通信、授权、认证以及防火墙技术。（3）审计和管理措施，这方面措施同时也包含了技术与社会措施。2020/2/28142.网络安全性方法为网络安全系统提供适当安全的常用方法：（1）修补系统漏洞（2）病毒检查（3）加密（4）执行身份鉴别（5）防火墙（6）捕捉闯入者（7）直接安全（8）空闲机器守则（9）废品处理守则（10）口令守则2020/2/28159.2防火墙技术9.2.1什么是防火墙防火墙起源于一种古老的安全防护措施。防火墙技术就是一种保护计算机网络安全的技术性措施，是在内部网络和外部网络之间实现控制策略的系统，主要是为了用来保护内部的网络不易受到来自Internet的侵害。图为防火墙示意图。2020/2/2816防火墙的主要功能如下：（1）过滤不安全服务和非法用户，禁止末授权的用户访问受保护网络。（2）控制对特殊站点的访问。防火墙可以允许受保护网的一部分主机被外部网访问，而另一部分被保护起来，防止不必要访问。如受保护网中的Mail、FTP、服务器等可允许被外部网访问，而其他访问则被主机禁止。有的防火墙同时充当对外服务器，而禁止对所有受保护网内主机的访问。（3）提供监视Internet安全和预警的方便端点。防火墙可以记录下所有通过它的访问，并提供网络使用情况的统计数据。2020/2/2817防火墙并非万能，影响网络安全的因素很多，对于以下情况防火墙无能为力：（1）不能防范绕过防火墙的攻击。（2）一般的防火墙不能防止受到病毒感染的软件或文件的传输。（3）不能防止数据驱动式攻击。（4）难以避免来自内部的攻击。2020/2/28189.2.2防火墙的三种类型1.网络级防火墙网络级防火墙也称包过滤防火墙，通常由一个路由器或一台充当路由器的计算机组成。2.应用级防火墙应用级防火墙通常指运行代理（Proxy）服务器软件的一台计算机主机。3.电路级防火墙电路级防火墙也称电路层网关，是一个具有特殊功能的防火墙，它可以由应用层网关来完成。电路层网关只依赖于TCP连接，并不进行任何附加的包处理或过滤。2020/2/28199.2.2防火墙体系结构1.双重宿主主机体系结构双重宿主主机体系结构是指在内部网络和外部网络的接口处使用至少两个网络设备，这些网络设备可以是路由器或普通计算机，其中一个连接内部网络（称为内部分组过滤器），另一个连接外部网络（称为外部分组过滤器），它们之间由设备连接，如图所示。2020/2/28202.主机过滤体系结构这种结构由硬件和软件共同完成，硬件主要是指路由器，软件主要是指过滤器，它们共同完成外界计算机访问内部网络时从IP地址或域名上的限制，也可以指定或限制内部网络访问Internet。路由器仅对主机的特定的PORT（端口）上数据通讯加以路由，而过滤器则执行筛选、过滤、验证及其安全监控，这样可以在很大程度上隔断内部网络与外部网络之间不正常的访问登录。2020/2/28213.子网过滤体系结构子网过滤体系结构添加了额外的安全层到主机过滤体系结构中，即通过添加参数网络，更进一步地把内部网络与Internet网络隔离开。（1）参数网络（2）堡垒主机（3）内部路由器（4）外部路由器2020/2/28229.2.3包过滤技术定义：包过滤（PacketFilter）是在网络层中对数据包实施有选择的通过。1.包过滤是如何工作的（1）将包的目的地址作为判据；（2）将包的源地址作为判据；（3）将包的传送协议作为判据。包过滤系统只能进行类似以下情况的操作：（1）不让任何用户从外部网用Telnet登录；（2）允许任何用户使用SMTP往内部网发电子邮件；（3）只允许某台机器通过NNTP往内部网发新闻。包过滤不允许进行如下的操作：（1）允许某个用户从外部网用Telnet登录而不允许其它用户进行这种操作。（2）允许用户传送一些文件而不允许用户传送其它文件。2020/2/28232.包过滤的优缺点（1）包过滤的优点包过滤方式有许多优点，而其主要优点之一是仅用一个放置在重要位置上的包过滤路由器就可保护整个网络。如果内部网络中的站点与Internet网络之间只有一台路由器，那么不管内部网络规模有多大，只要在这台路由器上设置合适的包过滤，内部网络中的站点就可获得很好的网络安全保护。（2）包过滤的缺点①在机器中配置包过滤规则比较困难；②对系统中的包过滤规则的配置进行测试也较麻烦；③许多产品的包过滤功能有这样或那样的局限性，要找一个比较完整的包过滤产品比较困难。2020/2/28243.包过滤路由器的配置在配置包过滤路由器时，首先要确定哪些服务允许通过而哪些服务应被拒绝，并将这些规定翻译成有关的包过滤规则。有关服务翻译成包过滤规则时非常重要的几个概念。（1）协议的双向性。协议总是双向的，协议包括一方发送一个请求，而另一方返回一个应答。在制定包过滤规则时，要注意包是从两个方向来到路由器的。（2）“往内”与“往外”的含义。在制定包过滤规则时，必须准确理解“往内”与“往外”的包和“往内”与“往外”的服务这几个词的语义。（3）“默认允许”与“默认拒绝”。网络的安全策略中的有两种方法：默认拒绝（没有明确地指明被允许就应被拒绝）与默认允许（没有明确地指明被拒绝就应被允许）。从安全角度来看，用默认拒绝应该更合适。2020/2/28254.包的基本构造包的构造有点像洋葱一样，它是由各层连接的协议组成的。每一层，包都由包头与包体两部分组成。在包头中存放与这一层相关的协议信息，在包体中，存放包在这一层的数据信息。这些数据信息也包含了上层的全部信息（即上一层包头和包体信息）。在每一层上对包的处理是将从上层获取的全部信息作为包体，然后根据本层的协议再加上包头。这种对包的层次性操作（每一层均加装一个包头）一般称为封装。2020/2/28265.包过滤处理内核过滤路由器可以利用包过滤手段来提高网络的安全性。（1）包过滤和网络策略（2）一个简单的包过滤模型（3）包过滤器操作2020/2/28279.3Internet网络个人计算机的保护9.3.1Internet网络病毒的防范1.杀病毒软件（1）金山毒霸的启动（2）查杀病毒①按上述方法打开金山毒霸,显示出金山毒霸的主界面，如图所示。②在金山毒霸主界面左侧的列表框中，选择需要进行查杀病毒的文件夹，并将其选中（即打√）。2020/2/2828③然后，在金山毒霸主界面的右边“控制中心”内，单击“开始查毒”，程序就开始开始查杀病毒了。④这时，程序切换到“查毒结果”界面,如图所示。如果发现病毒，程序将弹出“发现病毒”窗口询问对此要进行的下一步操作。选择相应的操作后，即可继续进行查毒。⑤如果没有发现病毒，程序将会提示用户“病毒检测完毕”单击“确认”键，返回“控制中心”界面2020/2/2829（3）病毒防火墙金山毒霸提供了一个重要的功能，就是病毒防火墙，这对于经常上网的用户十分有用。启动该程序后，会驻留于内存中，自动运行于后台，并会在任意应用程序对文件进行操作、接收电子邮件、从网络下载文件、打开光盘时进行病毒监控，彻底的防止病毒入侵。如果检查到病毒，将根据对其属性的设置做出相应的反应。2020/2/28302.在线杀毒目前，很多网站都提供这种在线杀毒，如网易（，如图所示）2020/2/28319.3.2构建个人防火墙个人用户只能使用应用级防火墙。这种防火墙一般都是使用包过滤和协议过滤等技术实现的，能有效地防止用户数据直接暴露在Internet中，并记录主机和Internet数据交换的情况，从而保证了用户的安全。下面以“天网防火墙”为例来介绍如何构建个人防火墙。2020/2/28321.天网防火墙的设置（１）单击主界面上的“系统设置”按钮，出现系统设置对话框（２）若选